Descubiertos en Rusia en 2005, los ataques ransomware se han extendido en la actualidad a otros países, principalmente los del mundo occidental. Mediante el uso de geo-ubicación se dirigen a los usuarios con notificaciones falsas aparentemente provenientes de sus policías locales.

"Múltiples bandas producen sus propias variantes, la ingeniería social es muy buena en conseguir que los usuarios paguen, y nuevas versiones aparecen todo el tiempo. Los programas afiliados también son utilizados para obtener beneficios económicos de esta amenaza," explicaron investigadores de Trend Micro, señalando que la amenaza ransomware es similar a la de antivirus falso.

Hasta ahora, la mayoría de los ataques ransomware podrían rastrearse a dos grupos que aparentemente dividieron objetivos entre sí según el país. Estos utilizan programas separados de afiliados, esquemas de pago diferentes y diferentes variantes ransomware.

"Uno de estos grupos utiliza server-side scripts (códigos del lado del servidor) para servir las imágenes adecuadas y los scripts, dependiendo del país del usuario", compartieron los investigadores. "Un segundo grupo utiliza una técnica diferente. Aquí, las imágenes y scripts son incrustadas en codificación base64 con código PHP. Las imágenes y scripts nunca son descargadas por separado, ya que podrían estar en el primer caso."

Sin embargo, ambos grupos prefieren que el pago se realice a través de cupones Ukash y Paysafecard, imposibles de rastrear, los cuales pueden vender rápidamente para intercambiar sitios por la mitad del precio y el círculo termina cuando lo intercambiado se vende por hasta nueve décimas partes de su precio original.

Pero como señalan los investigadores, nuevos grupos de cibercriminales llegan a la escena todo el tiempo y previamente los esquemas consolidados cambiarán probablemente poco a poco o ser abandonados por nuevos modelos de negocio, sólo queda por ver cuál.